(作者:王果 2013年7月发表于CSDN资讯)
Apache Struts团队6月底发布的Struts 2.3.15版本被曝出存在重要的安全漏洞,因此该团队紧急发布了Struts 2.3.15.1安全更新版本。
该版本修复的主要安全漏洞如下:
1. 通过在参数前面加上“action:”/“redirect:”/“redirectAction:”前缀,以实现远程代码执行,如下:
2. 通过在参数前面加上“redirect:”/“redirectAction:”前缀,以实现开放式重定向,如下:
详细漏洞信息:
- http://struts.apache.org/release/2.3.x/docs/s2-016.html
- http://struts.apache.org/release/2.3.x/docs/s2-017.html
- http://struts.apache.org/release/2.3.x/docs/version-notes-23151.html
最新版本下载地址: http://struts.apache.org/
Struts2漏洞层出不穷
最近以来的Struts2更新似乎都在忙着修复各种安全漏洞,而这些漏洞都集中在此方面,比如5月底发布的Struts 2.3.14.2版本、6月初发布的2.3.14.3版本,都修复了相关的漏洞,而这些漏洞都可能导致执行远程命令、访问/控制会话以及发起XSS攻击等。
关于Struts2的安全漏洞分析可参阅: